Atomic Stealer

Cybersikkerhedseksperter afslører, at en trusselsaktør sælger en ny malware kaldet Atomic Stealer på beskedapplikationen Telegram. Denne malware er skrevet i Golang og er specielt designet til at målrette mod macOS-platforme og kan stjæle følsomme oplysninger fra ofrets maskine.

Trusselsaktøren promoverer aktivt Atomic Stealer på Telegram, hvor de for nylig fremhævede en opdatering, der viser truslens seneste muligheder. Denne informationstjælende malware udgør en alvorlig risiko for macOS-brugere, da den kan kompromittere følsomme oplysninger, der er gemt på deres maskiner, herunder adgangskoder og systemkonfigurationer. Detaljer om truslen blev afsløret i en rapport fra malware-forskere.

Atomic Stealer besidder en bred vifte af truende egenskaber

Atomic Stealer har forskellige datatyverifunktioner, der gør det muligt for dens operatører at trænge dybere ind i målsystemet. Når den usikre dmg-fil eksekveres, viser malwaren en falsk adgangskodeprompt for at narre offeret til at give deres systemadgangskode, hvilket gør det muligt for angriberen at opnå forhøjede privilegier på offerets maskine.

Dette er et nødvendigt skridt for at få adgang til følsomme oplysninger, men en fremtidig opdatering kan bruge det til at ændre vigtige systemindstillinger eller installere yderligere nyttelast. Efter dette indledende kompromis forsøger malwaren at udtrække nøgleringsadgangskoden, som er macOS' indbyggede adgangskodemanager, der gemmer krypteret information såsom WiFi-adgangskoder, webstedslogin og kreditkortdata.

Atomic Stealer målretter mod over 50 krypto-punge

Når først Atomic har brudt en macOS-maskine, kan den udtrække forskellige typer information fra softwaren på enheden. Malwaren er rettet mod desktop cryptocurrency wallets som Electrum, Binance, Exodus og Atomic selv, samt over 50 cryptocurrency wallet-udvidelser, herunder Trust Wallet, Exodus Web3 Wallet, Jaxx Liberty, Coinbase, Guarda, TronLink, Trezor Password Manager, Metamask, Yoroi og BinanceChain.

Atomic stjæler også webbrowserdata, såsom automatisk udfyldning, adgangskoder, cookies og kreditkortoplysninger fra Google Chrome, Mozilla Firefox, Microsoft Edge, Yandex, Opera og Vivaldi. Desuden kan den indsamle systemoplysninger som modelnavn, hardware-UUID, RAM-størrelse, kerneantal, serienummer og mere.

Derudover gør Atomic det muligt for operatører at stjæle filer fra ofrets 'Desktop' og 'Documents' mapper, men det skal først anmode om tilladelse til at få adgang til disse filer, hvilket kan give ofrene mulighed for at opdage den ondsindede aktivitet.

Efter at have indsamlet dataene, vil malwaren komprimere dem til en ZIP-fil og overføre dem til Command-and-Control (C&C) serveren for trusselsaktøren. C&C-serveren er hostet på 'amos-malware[.]ru/sendlog.'

Mens macOS historisk set har været mindre tilbøjelige til skadelig aktivitet end andre operativsystemer som Windows, bliver det nu et mere og mere populært mål for trusselsaktører på alle færdighedsniveauer. Dette skyldes sandsynligvis det stigende antal macOS-brugere, især i erhvervs- og virksomhedssektoren, hvilket gør det til et lukrativt mål for cyberkriminelle, der søger at stjæle følsomme data eller få uautoriseret adgang til systemer. Som følge heraf skal macOS-brugere forblive på vagt og tage de nødvendige forholdsregler for at beskytte deres enheder mod disse trusler.